La compression du code malveillant dans des fichiers ZIP est depuis longtemps une tactique utilisée par les acteurs de la menace pour cacher les logiciels malveillants aux scanners de virus. Pour cette raison, l'analyse des archives fait désormais partie du travail normal de chaque antivirus. Certains opérateurs de logiciels malveillants se sont adaptés à cela en protégeant leurs cachettes ZIP avec un mot de passe. Microsoft contourne cette étape en tentant de contourner la protection par mot de passe dans les fichiers ZIP et, en cas de succès, les analyse à la recherche de code malveillant. Le fait que Redmond ait cette capacité a été remarqué par divers chercheurs en sécurité, rapporte le magazine américain Ars Technica . En effet, ils échangent généralement leurs échantillons de logiciels malveillants sous la forme de fichiers ZIP protégés par mot de passe pour s'assurer d'une part que les fichiers ne sont pas bloqués sur le chemin de communication et que le code ne peut pas devenir actif de manière incontrôlée.

Cependant, les rapports s'accumulent maintenant sur Mastodon selon lesquels les experts en sécurité marquent de plus en plus les fichiers concernés comme "infectés" sur les portails Sharepoint. Le chercheur en sécurité Andrew Brandt a expliqué que cela pose également un réel problème pour sa profession, car cela élimine probablement le moyen le plus important d'échanger des échantillons. La marge de coopération est donc encore un peu réduite. La manière exacte dont Microsoft passe à travers la protection par mot de passe n'est toujours pas claire. Une façon consiste à extraire d'éventuels identifiants du corps d'un e-mail ou du nom du fichier lui-même. Une autre option serait de tester si le fichier est protégé par un mot de passe à partir d'une liste.